パスワードクライシス・前編 パスワードって何だ？：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

SNSやオンラインサービスで相次ぐ不正ログイン事件の背景に、パスワードの使い回しを指摘する声が少なくない。厳格なパスワード管理も声高に叫ばれるが、すでにパスワードは終えんを迎えている。その理由と今後を掘り下げてみたい。

[萩原栄幸，ITmedia]

　情報処理推進機構（IPA）が、8月1日に多くのパスワードを安全に管理するための具体策として「全てのインターネットサービスで異なるパスワードを！」と呼び掛けた。IPAに出向している知人もいるので申し訳ないのだが、この内容をみて思わず噴き出してしまった。それと同時に、「パスワードの仕組みが崩壊した」という感触を持ったのである。

　筆者は16年前から金融機関向けに、情報セキュリティ管理者を養成する講演を手掛けている。そこで「パスワードの限界」というテーマで解説を行っているが、これを取り上げたきっかけは内部不正やネット攻撃などの問題を研究してきた結果、恐ろしい「未来」を垣間みたからであった。

　最近ではさまざまな専門家がパスワードの問題点を指摘したり、対処法を紹介したりしている。とても参考なるが、方向性が多少違っていると感じるものが少なくない。そこで今回から何度かに分けてパスワードの現実と未来について解説していきたい。

パスワードってなんだ？

　パスワードとは何か。筆者は簡単に言えば、「本人しか知らない文字列」を相手に伝えることで「真に本人である」ということを認証してもらうため――という勝手な解釈をしている。大よそそんな感じではないだろうか。

　それでは現在、本人を認証する手段としてパスワード以外に何があるのか。日本には印鑑（三文判、実印など）、欧米にはサインや身分証明書（運転免許証、住基カード、パスポート、社会保障カード、IDカードなど国によって異なる）がある。

　これらの認証手段とパスワードとの違いに、まず「簡便さ」がある。例えば、運転免許証や実印、クレジットカードなどの内容を通知しないとネットの記事が見られないといったら、誰もが「無料なのになぜ必要なのか？」「その情報で悪いことをするのでは？」と思うだろう。

　なぜなら実は、その目的が「課金」ではなく、企業の「営業戦略」とリンクしているだけなのだ。金銭が絡む「証明」を必要としないからである。つまり、有料サイトのデジタル新聞などで一度課金に関する重要な情報交換が済めば、後は「正規会員」として本人しか知らないはずの「パスワード」で、本人しか利用できないというルールのもとにビジネスが成り立っている。

　このパスワードは、20年前と比べてどう変わったのだろうか。大よそ以下の変化がみられるだろう。

1. パスワードが必要なビジネスモデルが急増し、サイト自体の数が何百倍、何千倍と多くなった
2. コンピュータの性能が格段に向上し、個人でも気軽にクラウドなどが利用できるようになった。少し前までは現実的でないと思われた攻撃手法が可能になってきた
3. 太古からの人間の「危険」と感じる感性がネットやコンピュータの新しい道具においては全く役に立たない
4. パスワードが急増した結果、感性がマヒしていわゆる「使いまわし」が急増した。「リスト攻撃」などの新しい攻撃が有効になってきた

　社会的に醸成する間もなく、現代は「パスワード」という漫然としたセキュリティにしがみつくのが当たり前になってしまった。「パスワードは脆弱である」。これを前提にしなければいけない。